How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

JWT-decoder - JSON Web Tokens online decoderen en verloop controleren

Plak een willekeurig JSON Web Token om direct de header en payload te decoderen, de handtekening te bekijken en te controleren of het verlopen is. Werkt lokaal — je tokens verlaten je browser nooit.

Gecodeerde JWT

Deze tool decodeert alleen de token — hij verifieert de handtekening niet tegen een geheime of publieke sleutel. Iedereen met de token kan de payload lezen, dus zet nooit geheimen in een JWT.

Bestanden worden na verwerking automatisch verwijderdGeen watermerkenGratis te gebruiken — geen registratie nodig

Klaar met JWT-decoder? Probeer hierna deze

Zorgvuldig gekozen tools die goed samengaan met JWT-decoder. Ga verder zonder je bestand te verliezen.

Alle tools bekijken

Base64-encoder/-decoder

Codeer elke tekst of elk bestand naar Base64 (met URL-veilige variant), of decodeer Base64 terug naar tekst. UTF-8-veilig.

Probeer het nu

Hashgenerator

Bereken SHA-1-, SHA-256-, SHA-384- en SHA-512-hexadigests van willekeurige tekst of bestanden met de Web Crypto API van de browser.

Probeer het nu

JSON opmaken

Formatteer, valideer en minify JSON in je browser. Net ingesprongen met 2 / 4 / 8 spaties of minify naar één regel met kopiëren + downloaden.

Probeer het nu

URL-encoder / -decoder

Codeer URL-componenten of volledige URL's met procentcodering en decodeer ze weer terug. Modi encodeURIComponent en encodeURI.

Probeer het nu

Wachtwoordgenerator

Genereer sterke, cryptografisch willekeurige wachtwoorden tot 128 tekens met live entropieschatting.

Probeer het nu

Diff Checker

Vergelijk twee tekstfragmenten regel voor regel. Gesplitste of gecombineerde weergave, optioneel witruimte negeren en hoofdletters negeren.

Probeer het nu

Frequently Asked Questions

Plak het gecodeerde JWT (de lange eyJ…-tekenreeks) in het invoervak. De tool splitst het op de twee punten, decodeert de header en payload met Base64URL en toont voor beide de JSON plus het ruwe handtekeningsegment — allemaal zonder enige netwerkaanvraag.

usage

Nee. De decoder parseert alleen het token; hij controleert de handtekening niet tegen een geheime of publieke sleutel, omdat verificatie het sleutelmateriaal van de uitgever vereist. Gebruik voor productieverificatie een server-side JWT-bibliotheek; deze tool is bedoeld voor inspectie en debugging.

technical

Je krijgt de header (algoritme en sleutel-id), de payload-claims (sub, iss, aud, iat, exp en eventuele aangepaste claims) en de ruwe handtekening. Standaard tijdstempelclaims worden opgemaakt als leesbare datums, zodat je verlopen tokens in één oogopslag kunt herkennen.

features

Als de payload de standaard "exp"-claim bevat, vergelijkt de tool deze met de huidige tijd en toont hij ofwel "Geldig tot" of "Token verlopen op" met het exacte tijdstempel. Tokens zonder exp-claim worden gerapporteerd als zonder vervaldatum.

features

Iedereen die de payload van een JWT kan lezen, kan deze gebruiken totdat hij verloopt. Productietokens horen daarom thuis in privétools. Deze decoder draait volledig in je browser en verstuurt het token nooit, maar de veiligere vuistregel is om waar mogelijk kortlevende ontwikkeltokens te decoderen.

privacy

Een JWT bestaat uit drie met Base64URL gecodeerde segmenten, gescheiden door punten: header (ondertekeningsalgoritme), payload (de claims die de uitgever door de verifieerder vertrouwd wil zien) en signature (een MAC of digitale handtekening over header.payload). Decoderen vereist nooit een sleutel — alleen verifiëren wel.

technical

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

OAuth- en OpenID Connect-flows debuggen

Decodeer access-tokens en ID-tokens die worden geretourneerd door Auth0, Okta, Cognito en Azure AD om scopes, audiences en issuers te verifiëren tijdens lokaal OAuth-integratiewerk

For Developers

Authorization-headers in API-aanroepen inspecteren

Plak het bearer-token van een mislukte API-aanvraag om te bevestigen of de verkeerde tenant, rol of vervaldatum de oorzaak is voordat je een ticket aanmaakt bij het backendteam

For Developers

Controleer de vervaltijd van tokens tijdens de ontwikkeling

Spoor verlopen tokens op die je staging-omgeving stilletjes om zeep helpen door de exp-claim uit te lezen — je hoeft de token niet naar een terminal te kopiëren of snel een script te schrijven

For Business

Controleer rechten die in token-claims zijn gecodeerd

Verifieer aangepaste claims zoals rollen, tenants en feature flags, zodat beheerders kunnen bevestigen dat het token van een klant precies de toegang verleent die het licentieteam beoogt

For Business

Single sign-on-integraties valideren

Inspecteer SAML- en OIDC-tokens die door SSO-integraties op ondernemingsniveau worden gegenereerd om groepslidmaatschappen en attribuuttoewijzingen te controleren voordat je uitrolt naar alle medewerkers

Education

Token-gebaseerde authenticatie onderwijzen

Gebruik de gedecodeerde header-, payload- en signaturepanelen om aan bootcampstudenten, junior engineers en deelnemers aan securityworkshops uit te leggen hoe JWT's zijn opgebouwd

Try JWT Decoder now — it's free

Afbeeldingstools

PDF-tools

Andere tools

JWT-decoder - JSON Web Tokens online decoderen en verloop controleren

Klaar met JWT-decoder? Probeer hierna deze

Base64-encoder/-decoder

Hashgenerator

JSON opmaken

URL-encoder / -decoder

Wachtwoordgenerator

Diff Checker

Frequently Asked Questions

How JWT Decoder helps you get it done

OAuth- en OpenID Connect-flows debuggen

Authorization-headers in API-aanroepen inspecteren

Controleer de vervaltijd van tokens tijdens de ontwikkeling

Controleer rechten die in token-claims zijn gecodeerd

Single sign-on-integraties valideren

Token-gebaseerde authenticatie onderwijzen